Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Lazarus Group распротраняла RAT-троян под видом инструментов кибербезопасности

08/04/25

 

Lazarus group

Северокорейская кибергруппировка, стоящая за кампанией Contagious Interview, вновь активизировалась и расширила свои действия в экосистеме npm. Исследователи безопасности из компании Socket зафиксировали публикацию одиннадцати зловредных пакетов, которые распространяли вредонос BeaverTail, а также новый загрузчик удалённого доступа. Под видом утилит и инструментов отладки злоумышленники внедряли вредоносный код, избегая обнаружения благодаря обфускации в виде шестнадцатеричных строк, пишет Securitylab.

Перед удалением с платформы перечисленные npm-пакеты были загружены более 5600 раз. Среди них: empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log и consolidate-logger. В ряде случаев загрузчики обращались к репозиториям на Bitbucket вместо традиционного GitHub, что говорит о стремлении к маскировке и усложнению отслеживания. Один из пакетов, icloud-cod, размещён в папке «eiwork_hire», продолжая тему поддельных собеседований, через которые происходит заражение.

Как отмечают исследователи, код некоторых пакетов, таких как cln-logger и consolidate-logger, отличается незначительными вариациями, что свидетельствует о тестировании различных вариантов вредоносного ПО. Несмотря на различия, все четыре пакета выполняют функцию загрузчика, способного передавать следующий этап атаки с удалённого сервера и исполнять его через eval() — приём, позволяющий атакующим запускать произвольный код.

Ранее было выявлено шесть аналогичных пакетов с тем же функционалом. Их основная цель — получить доступ к системам разработчиков, маскируясь под профессиональные контакты, и закрепиться в инфраструктуре, похищая данные и финансовую информацию. По словам специалистов, вредоносный код способен не только загружать другие компоненты, но и самостоятельно действовать как полноценный RAT.

Кампания Contagious Interview продолжается уже больше полугода. Её организаторы регулярно создают новые npm-аккаунты, размещают вредоносные пакеты на GitHub и Bitbucket, а также применяют социальную инженерию в духе метода ClickFix. Группировка активно использует BeaverTail и связанный с ним Python-бэкдор InvisibleFerret, распространяя их под разными именами и с использованием всё новых платформ.

Согласно выводам аналитиков, деятельность Contagious Interview остаётся устойчивой и адаптивной. Преступники варьируют инструменты, обновляют код и меняют методы доставки, что усложняет своевременное выявление угрозы. На фоне активного распространения вредоносных npm-пакетов специалисты напоминают об опасности не только подозрительных вложений, но и исполняемых файлов, поступающих из непроверенных источников.

Темы:ПреступленияLazarus GroupКНДРRAT-трояныSocket
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...